Các hội đồng quản trị hiện đang chú ý đến nhu cầu tham gia giám sát an ninh mạng. Không chỉ hậu quả gây ra mối lo ngại, mà các quy định mới đang nâng cao thời gian và thay đổi trò chơi.
Các hội đồng quản trị có vai trò đặc biệt quan trọng để đảm bảo quản lý rủi ro mạng một cách thích hợp như một phần của vai trò ủy thác và giám sát của họ. Khi các mối đe dọa mạng gia tăng và các công ty trên toàn thế giới tăng cường ngân sách an ninh mạng, cộng đồng quản lý, bao gồm cả SEC, đang thúc đẩy các yêu cầu mới mà các công ty sẽ cần biết khi họ củng cố chiến lược mạng của mình.
Hầu hết các tổ chức mà chúng tôi đã nghiên cứu tập trung vào bảo vệ mạng hơn là khả năng phục hồi trên mạng và chúng tôi tin rằng đó là một sai lầm. Khả năng phục hồi không chỉ là bảo vệ; đó là một kế hoạch để phục hồi và tiếp tục hoạt động kinh doanh. Kiên cường có nghĩa là bạn đã làm hết sức có thể để bảo vệ và phát hiện sự cố mạng, đồng thời bạn cũng làm hết sức có thể để đảm bảo rằng bạn có thể tiếp tục hoạt động khi sự cố xảy ra. Một công ty chỉ đầu tư vào bảo vệ sẽ không quản lý rủi ro liên quan đến việc hoạt động trở lại trong trường hợp xảy ra sự cố mạng.
Nghiên cứu của chúng tôi chỉ ra rằng hầu hết các thành viên hội đồng quản trị tin rằng vấn đề không phải là nếu, mà là khi công ty của họ sẽ trải qua một sự kiện mạng. Mục tiêu cuối cùng của một tổ chức có khả năng phục hồi trên không gian mạng sẽ không bị gián đoạn bởi một vi phạm mạng. Điều đó làm cho việc tập trung vào khả năng phục hồi trở nên quan trọng hơn.
Các quy định mới của SEC sẽ thay đổi vai trò của hội đồng quản trị
Vào tháng 3 năm 2022, SEC đã ban hành một quy tắc được đề xuất có tiêu đề Quản lý rủi ro an ninh mạng, Chiến lược, Quản trị và Tiết lộ Sự cố. Trong đó, SEC mô tả ý định yêu cầu các công ty đại chúng tiết lộ liệu ban quản trị của họ có thành viên có chuyên môn về an ninh mạng hay không: “An ninh mạng đã là một trong những ưu tiên hàng đầu của nhiều hội đồng quản trị và các sự cố an ninh mạng và các rủi ro khác được coi là một trong những mối đe dọa lớn nhất đối với các công ty. Theo đó, các nhà đầu tư có thể thấy việc tiết lộ liệu có thành viên hội đồng quản trị nào có chuyên môn về an ninh mạng hay không là quan trọng khi họ xem xét khoản đầu tư của họ vào người đăng ký cũng như phiếu bầu của họ về việc bầu chọn giám đốc của người đăng ký. “
SEC sẽ sớm yêu cầu các công ty tiết lộ khả năng quản lý an ninh mạng của họ, bao gồm giám sát của hội đồng quản trị về rủi ro mạng, mô tả vai trò của ban quản lý trong việc đánh giá và quản lý rủi ro mạng, chuyên môn liên quan của việc quản lý đó và vai trò của ban quản lý trong việc thực hiện các chính sách an ninh mạng của người đăng ký, thủ tục và chiến lược. Cụ thể, nếu thích hợp để giám sát hội đồng quản trị, những người đăng ký sẽ được yêu cầu tiết lộ:
- cho dù toàn bộ hội đồng quản trị, một thành viên hội đồng quản trị cụ thể hay một ủy ban hội đồng quản trị chịu trách nhiệm giám sát các rủi ro mạng,
- các quy trình mà hội đồng quản trị được thông báo về các rủi ro mạng và tần suất thảo luận của hội đồng về chủ đề này,
- Hội đồng quản trị hoặc ủy ban được chỉ định có coi rủi ro mạng như một phần của chiến lược kinh doanh, quản lý rủi ro và giám sát tài chính hay không và bằng cách nào.
Tin tốt là các hội đồng quản trị đang đạt được tiến bộ trong lĩnh vực này. Nghiên cứu gần đây mà chúng tôi thực hiện với đối tác nghiên cứu Proofpoint cho thấy rằng gần 2/3 thành viên hội đồng quản trị tin rằng tổ chức có nguy cơ bị tấn công mạng nghiêm trọng. Gần ba phần tư số người được hỏi cảm thấy khoản đầu tư mà tổ chức của họ đã thực hiện cho an ninh mạng là tương xứng và cũng cho rằng an ninh mạng là ưu tiên hàng đầu. Bảy mươi sáu phần trăm báo cáo rằng các vấn đề an ninh mạng được thảo luận tại mọi cuộc họp hội đồng quản trị, hoặc thường xuyên hơn thế.
Tuy nhiên, nghiên cứu của chúng tôi cũng phát hiện ra những thái độ và niềm tin phải thay đổi. Chỉ 23% thành viên hội đồng quản trị cho rằng rất có thể xảy ra một cuộc tấn công vào tổ chức của họ. Khoảng 47% tin rằng tổ chức của họ không được chuẩn bị cho một cuộc tấn công mạng, đặt câu hỏi “họ đang làm gì về điều này?” Và khoảng một phần ba thành viên hội đồng cho biết họ chỉ tương tác với CISO khi anh ấy / cô ấy trình bày trước hội đồng. Rõ ràng có chỗ để cải thiện trong việc sắp xếp các thành viên hội đồng quản trị với các ưu tiên an ninh mạng của tổ chức.
Thành viên Hội đồng Quản trị Điều chỉnh Thái độ An ninh Mạng
Để cung cấp sự giám sát thích hợp và tuân thủ môi trường pháp lý, các thành viên hội đồng quản trị sẽ phải nâng cao trò chơi an ninh mạng của họ. Sẽ không còn đủ nếu chỉ nghe về các biện pháp bảo vệ được áp dụng hoặc kết quả của cuộc thực hành lừa đảo mới nhất. Các thành viên hội đồng quản trị phải nhận thức được khả năng xảy ra các cuộc tấn công mạng và thực hiện vai trò giám sát của mình để đảm bảo rằng các nhà điều hành và quản lý đã có những chuẩn bị thích hợp và phù hợp để ứng phó và phục hồi. Xét cho cùng, nếu chúng ta cho rằng mọi tổ chức đều có nguy cơ bị xâm nhập hoặc bị tấn công và không thể được bảo vệ 100% khỏi mọi cuộc tấn công, thì cách tiếp cận hợp lý nhất là đảm bảo tổ chức có thể phục hồi với ít hoặc không có thiệt hại cho các hoạt động , cho điểm mấu chốt về tài chính và danh tiếng của tổ chức.
Xây dựng khả năng phục hồi trong một tổ chức đòi hỏi sự giám sát thích hợp từ hội đồng quản trị dựa trên một kế hoạch rõ ràng được xây dựng trên cơ sở kinh doanh và phân tích kinh tế. Dưới đây là một vài câu chuyện về cách các công ty mà chúng tôi nghiên cứu đã thực hiện điều này.
Giám đốc điều hành của một công ty dịch vụ tài chính nhận ra rằng hội đồng quản trị của mình không thông thạo về bối cảnh kinh doanh hoặc rủi ro tài chính bị ảnh hưởng từ một cuộc tấn công mạng. Anh ta đã thuê một công ty tư vấn bên thứ ba để tiến hành đánh giá mức độ trưởng thành về an ninh mạng. Công ty CISO đã trình bày kết quả báo cáo cho tiểu ban quản lý rủi ro doanh nghiệp, tạo ra một cuộc đối thoại hữu ích xoay quanh tác động kinh doanh và tài chính của các khoản đầu tư khác nhau vào an ninh mạng. Điều gì-xảy ra khi đầu tư vào các cấp độ đáo hạn khác nhau đã giúp hội đồng quản trị hiểu được sự đánh đổi tài chính / rủi ro và cung cấp cho họ cả ngôn ngữ và quan điểm cần thiết để thực hiện giám sát cần thiết đối với các kế hoạch an ninh mạng do nhóm điều hành đưa ra.
Một tổ chức khác đã tập trung hội đồng quản trị của họ vào sự liên kết của chương trình an ninh mạng và rủi ro hoạt động của họ. CISO, phối hợp với giám đốc rủi ro, tận dụng phân tích tài chính để hỗ trợ thu hẹp khoảng cách giữa các vụ phơi bày trên mạng với các tổn thất trong hoạt động. Hội đồng quản trị có thể hiểu được mức độ rủi ro của tổ chức từ góc độ rủi ro, dẫn đến việc tối ưu hóa chính sách bảo hiểm mạng của họ như một cách để giảm thiểu rủi ro mới được hiểu.
Bằng cách sử dụng ngôn ngữ về rủi ro, khả năng phục hồi và danh tiếng trong các cuộc thảo luận về an ninh mạng với các thành viên hội đồng quản trị, các nhà điều hành hoạt động có thể thu hẹp khoảng cách thường xảy ra giữa các nhu cầu kỹ thuật được thấy để đáp ứng nhu cầu an ninh mạng và trách nhiệm giám sát của hội đồng quản trị. Có lẽ điều này đã được Peter R. Gleason, chủ tịch kiêm Giám đốc điều hành của Hiệp hội các Giám đốc Doanh nghiệp Quốc gia (NACD), nói rõ nhất khi ông nói, “Chúng tôi đã nghe từ nhiều giám đốc về nhu cầu hiểu rõ rủi ro tài chính do rủi ro mạng, sẽ ngoài các bài thuyết trình không gian mạng kỹ thuật tập trung vào mối đe dọa mà hầu hết các hội đồng đều nhận được ”.
Khi chúng ta ngày càng phụ thuộc vào các hội đồng quản trị để mở rộng trách nhiệm ủy thác của họ đối với các kế hoạch an ninh mạng, các nhà quản lý hoạt động cũng phải thực hiện vai trò bằng cách trình bày các kế hoạch đó theo cách phù hợp với cách mà hội đồng quản trị đóng góp tốt nhất. Việc đáp ứng các yêu cầu quy định mới có thể đạt được tốt hơn bằng cách sắp xếp cách các nhà lãnh đạo hoạt động thảo luận về an ninh mạng với hội đồng quản trị của họ.
Tăng kiến thức chuyên môn về an ninh mạng trong Phòng họp của bạn
Dưới đây là một số thông tin chi tiết có thể hành động để bắt đầu ngay hôm nay để hội đồng quản trị của bạn đáp ứng (hoặc vượt quá) các nguyên tắc mới của SEC và cung cấp mức độ giám sát phù hợp đối với các kế hoạch an ninh mạng:
1. Phát triển một ngôn ngữ chung để thảo luận về các vấn đề phức tạp của rủi ro mạng và khả năng phục hồi.
Các hội đồng quản trị muốn đơn giản hóa các cuộc thảo luận kỹ thuật, khó hiểu với các điều khoản bảo mật sắc thái. Không phải những điều này không quan trọng, nó chỉ không hiệu quả đối với hội đồng quản trị như một phân tích kinh tế cho thấy các cuộc tấn công mạng gây nguy hiểm như thế nào về mặt tài chính của các tổ chức trong ngắn hạn và dài hạn và cách tổ chức sẽ hoạt động trở lại, tức là có khả năng phục hồi. Nghiên cứu của chúng tôi cho thấy rằng các công ty bảo hiểm đang dẫn đầu ở đây, khi họ chuyển cuộc trò chuyện không gian mạng từ một cuộc trò chuyện kỹ thuật cao và không rõ ràng sang một cuộc trò chuyện mà các doanh nghiệp có thể hiểu và quản lý hiệu quả khả năng tài chính của họ.
2. Giữ khả năng phục hồi không gian mạng trong chương trình làm việc của hội đồng quản trị và trong các cuộc thảo luận với ban quản lý.
Nghiên cứu của chúng tôi chỉ ra rằng các hội đồng đang nghe về an ninh mạng từ ban quản lý nhưng các cuộc thảo luận phải diễn ra thường xuyên hơn. Đây không phải là loại quyết định “một lần và thực hiện”; nó là một mục tiêu liên tục thay đổi và di chuyển. Hội đồng quản trị càng thường xuyên tiếp xúc với tình hình không gian mạng của tổ chức của họ, họ càng trở nên thoải mái hơn và chuyên nghiệp hơn.
3. Xây dựng cầu nối rộng hơn giữa các nhà điều hành an ninh mạng và các thành viên hội đồng quản trị.
Các thành viên hội đồng quản trị phải có quyền truy cập và mối quan hệ với các chuyên gia an ninh mạng trong tổ chức. Mặc dù việc mời CISO báo cáo với hội đồng quản trị giúp xác định danh tính, nhưng nó không xây dựng mối liên hệ chặt chẽ giữa các thành viên hội đồng quản trị và giám đốc điều hành bảo mật. Tìm cách tạo điều kiện thuận lợi cho mối quan hệ này.
Trong nghiên cứu của mình, chúng tôi đã thấy các thành viên hội đồng quản trị liên hệ với CISO giữa các cuộc họp hội đồng quản trị để thảo luận về các tiêu đề an ninh mạng, chia sẻ các sự cố cá nhân có thể xảy ra và chỉ để làm quen tốt hơn. Bằng cách đó, khi có nhu cầu khẩn cấp về tình hình an ninh mạng, hội đồng quản trị đã có sẵn mối quan hệ và các cuộc thảo luận có liên quan và minh bạch hơn. Một sự cố mạng không phải là lúc để xây dựng cây cầu; điều đó sẽ xảy ra rất lâu trước khi các cuộc trò chuyện khó diễn ra.
Việc giáo dục hội đồng quản trị để đáp ứng các yêu cầu của SEC có thể xảy ra một cách tự nhiên nếu cả hội đồng quản trị và giám đốc điều hành chỉ điều chỉnh một chút cách tiếp cận của họ. Suy nghĩ về khả năng phục hồi thay vì bảo vệ, cân bằng giữa rủi ro kinh doanh và kỹ thuật, thảo luận về an ninh mạng về mặt rủi ro tài chính và tăng tần suất thảo luận về bối cảnh an ninh mạng mà tổ chức phải đối mặt, sẽ giúp các giám đốc trong hội đồng quản trị chuẩn bị và đáp ứng với SEC các quy tắc có thể xảy ra. Và điều đó sẽ đi một chặng đường dài hướng tới việc tăng khả năng phục hồi của tổ chức.
Thế giới bản tin | Vina Aspire News
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://hbr.org/2022/11/is-your-board-prepared-for-new-cybersecurity-regulations